Wie emuliere ich einen Inline-Host in der Mitte von zwei anderen Hosts in VMware Workstation?

9

Ich möchte ein Labor einrichten, um Suricate, ein IPS-System, auszuprobieren. Die Sache ist, dass ich es so einrichten muss:

Atacker VM ----- Inline-IPS-VM ----- Opfer-VM Wie kann ich dies erreichen? Ich sehe keine Möglichkeit, einen virtuellen Host mit 2 Netzwerkkarten einzurichten und ihn in die Mitte der Verbindung zu stellen. Kann es irgendwie gemacht werden?

user2723297
quelle
Übrigens habe ich Security Onion verwendet: sourceforge.net/projects/security-onion Es handelt sich um eine Xubuntu-ISO, die Snort oder andere Sensoren und die Tools zur Protokollanalyse auf ziemlich einfache Weise konfiguriert, damit die Benutzeroberfläche Spaß macht. Also, es ist erstaunlich einfach, probieren Sie es aus!
user2723297

Antworten:

9

In Ihrem Schema sehen wir, dass Sie zwei separate LANs benötigen. Nennen wir sie LAN-Angreifer und LAN-Opfer. Auf der Attacker-VM und der Victim-VM benötigen Sie für jede VM einen einzelnen virtuellen Netzwerkadapter. Auf der IPS-VM benötigen Sie zwei virtuelle Netzwerkadapter. Sie können die Adapter im Fenster Einstellungen für virtuelle Maschinen auf der Registerkarte Hardware hinzufügen und konfigurieren.

Lassen Sie sich nicht durch die Tatsache verwirren, dass es zwei separate LANs gibt. Sie können sich im selben IP-Subnetz befinden, wenn Ihr IPS als Bridge (Layer 2-Gerät) fungieren soll. Sie können sich auch in zwei verschiedenen IP-Subnetzen befinden, wenn das IPS als Router fungieren soll (Schicht 3). Dies hängt nur von Ihrer Netzwerkkonfiguration in den virtuellen Maschinen ab.

Jetzt gibt es zwei Möglichkeiten, die beiden LANs zu konfigurieren und zu verbinden.

LAN-Segmente

In VMware Workstation 8.0 und höher können Sie LAN-Segmente für lokale virtuelle Netzwerke verwenden, die nur mit virtuellen Maschinen kommunizieren müssen. Diese Konfiguration ist erheblich einfacher. Geben Sie hier die Bildbeschreibung ein Wählen Sie im Fenster Einstellungen für virtuelle Maschinen auf der Registerkarte Hardware einen Netzwerkadapter aus und klicken Sie auf die Schaltflächen LAN-Segmente. Erstellen Sie die beiden LAN-Segmente LAN-Attackerund LAN-Victim. Wählen Sie auf jedem virtuellen Netzwerkadapter das entsprechende LAN-Segment aus.

Beachten Sie, dass die Computer, die nur mit LAN-Segmenten verbunden sind, weder über den physischen Host noch mit den externen physischen Netzwerken (über das Netzwerk) kommunizieren können.

Virtuelle Netzwerke vmnetx

In allen Versionen von VMware Workstation können Sie virtuelle Netzwerke verwenden. Sie können sie mit dem Virtual Network Editor (im Menü Bearbeiten) konfigurieren. Die virtuellen Netzwerke sind aufgerufen , vmnetxwo xdie Zahl des virtuellen Netzwerks. Konfigurieren Sie entweder nicht verwendete oder erstellen Sie neue. Geben Sie hier die Bildbeschreibung ein Es gibt drei Arten von virtuellen Netzwerken:

  • Überbrückt - Sie sind mit einem physischen Netzwerk verbunden, auf das Ihr physischer Host auf Schicht 2 Zugriff hat. Die mit diesem VMnet verbundenen virtuellen Maschinen sehen dann so aus, als wären sie direkt mit dem physischen Netzwerk verbunden.
  • NAT - Es gibt ein virtuelles Netzwerk, aber der physische Host führt dynamisches NAT durch, sodass die mit diesem VMnet verbundenen Maschinen mit physischen Netzwerken kommunizieren können. (und untereinander - siehe unten)
  • Nur Host - Dieses VMnet ist wie NAT, jedoch ohne NAT und ohne Zugriff auf die externen physischen Netzwerke. Daher können die mit diesem VMnet verbundenen Computer nur miteinander kommunizieren, einschließlich des physischen Hosts, wenn Sie die Option "Virtuellen Hostadapter verbinden" auswählen.

In Ihrem Fall verwenden Sie entweder nur Host oder NAT (wenn die Computer mit der Außenwelt kommunizieren müssen). In Neu - Installation von VMware Workstation vmnet0- vmnet2sind vordefiniert , so dass Sie wahrscheinlich verwenden können , vmnet3wie LAN-Attackerund vmnet4wie LAN-Victim.

In den virtuellen Maschinen weisen Sie dann den virtuellen Netzwerkadaptern die entsprechenden VMNets zu, ähnlich wie in den obigen LAN-Segmenten. Wählen Sie einfach die Option "Benutzerdefiniert: Spezifisches virtuelles Netzwerk" anstelle von "LAN-Segment".

Pabouk
quelle
Hey Mann, danke für die gründliche Antwort. Ich werde es testen und euch wissen lassen. Es ist also im Grunde genommen: ATACKER'S PC (10.0.0.1/8 zum Beispiel) ---- LAN-Segment 1 ---- IPS ---- LAN-Segment 2 ---- VICTIM'S PC (10.0.0.2/8, in der gleicher Bereich, um das IPS in die Mitte zu zwingen). Wenn ich das mache, wird das IPS automatisch inline geschaltet? Ich verstehe nicht warum. Warum interpretiert VMware, dass sich der Host mit den beiden LAN-Segmenten in der Mitte befinden sollte?
user2723297
Bitte schön! Der Angreifer-PC und die Schnittstelle 1 von IPS sind beide mit LAN1 verbunden. Der Opfer-PC und die Schnittstelle 2 von IPS sind beide mit LAN2 verbunden. Angreifer und Opfer befinden sich also in zwei separaten LANs. Sie können nicht direkt kommunizieren. Der einzige Weg besteht darin, das IPS zu durchlaufen, das sowohl mit LAN1 als auch mit LAN2 verbunden ist. ------ Damit dies funktioniert, muss IPS natürlich eine besondere Rolle spielen. Es muss als Bridge konfiguriert sein (falls sich LAN1 und LAN2 im selben Subnetz befinden - hier 10.0.0.0/8). Wie funktionieren Brücken? Siehe zum Beispiel: Ethernet Bridges & Switches .
Pabouk
Oh ja, gotcha. Ohne die Konfiguration der Linux-IPS-Box als Bridge würden sicherlich die Broadcast-Pakete verworfen, die Attacker die MAC-Adresse für das Opfer geben würden. Und wenn ich die MAC-Adresse in der ARP-Tabelle des Angreifers fest codieren würde, würde IPS sie natürlich immer noch löschen. Den Weg hierher gefunden: linuxfoundation.org/collaborate/workgroups/networking/bridge Es ist ziemlich einfach! Vielen Dank.
user2723297